NRI Secure SANS NewsBites 日本版

Vol.6 No.30-31 合併号 2011年8月3日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.30-31 合併号 2011年8月3日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
更新情報:
豪州国防省参謀本部国防信号局 (DSD: Defense Signals Directorate)から、 昨日、短いが説得力のある内容の新しい文書が発表された。DSDは、豪州の軍 関連局や文民側機関のセキュリティに対する責任を担う省である。豪州政府の システム(文民側機関と国防関連)への標的型サイバー攻撃として既に報告され ているアタック全てについて、DSDが捜査を行ったが、この新文書では、この 捜査で判明した事柄を、35の(リスク)軽減策として最新リストに凝集している。 この35の軽減策は、世界中の政府や産業の多くを破壊しようとしている標的型 攻撃を食い止め、リスクを軽減するための最大の望みである。これらのうち4 つのリスク軽減策は、「最初に行うべきこと」として区別されている。この文 書は、監査の目標を定めるシステムとして利用すれば、その重要な役割を最大 限に果たせる。これによって、政府の監査官、民間監査人、CISOらが、この4 つのリスク軽減策を導入した際の所属組織における効果を基準にしたがって評 価できるようになる。残りのリスク軽減策についても、最初の4つが完全に、 そして、有効的に設置されればすぐに評価が可能になる。この「DSD 35」は、 米国の国土安全保障省(DHS)や国家安全保障局(NSA)、エネルギー省やSANS、そ の他の米国の組織が作成した20の重大なコントロール(20 Critical Controls) にまさに匹敵するものだ。しかしながら、この新文書では、優先順位付けにつ いての情報が、非常に役に立ちそうな形で付加されている。この文書は、以下 のリンクでご覧いただける。

http://www.dsd.gov.au/infosec/top35mitigationstrategies.htm

サイバーフォレンジックに関する驚きの情報: 少なくとも、私にとっては驚きだ。サイバー「キルチェーン(Kill Chain」に ついてのより深い説明を探していたら、「情報主導のレスポンス(別名:攻撃 側情報に基づく防御)」という4回シリーズの記事を見つけた。この記事は非 常によくまとめられており、熟慮された内容に関する理解の深さは格別のもの だ。このシリーズ記事は、ロッキード(Lockheed)のインテル融合チーム(Intel Fusion Team)のリーダーのMike Cloppertによるもので、サイバー攻撃の調査・ 理解について徹底的に掘り下げた独創的な記事が豊富に集められたコレクショ ン(サイバー上の痕跡の分析についての記事が150、証拠獲得についての記事が 90、逆行分析についての記事が18、その他多数)の一部を成している。しかし、 私が最も驚いたのは、これらの記事は全て、SANSのフォレンジックプログラム のディレクターのRob Leeが運営しているコンピュータフォレンジック・コミュ ニティの情報共有プロジェクトの一環だということだ。
このようなプロジェクトがあったことを知らなかった。このプロジェクトの全 容は、computer-forensics.sans.orgでご覧いただける。また、Mikeの記事やそ の他の関連記事は、ページのトップにある「Community」ボタンの下にあるので、 一読されたい。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込受付中!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されているコースのうちのひとつ!!

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
        http://sans-japan.jp/courses/sec504.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.56-57
(原版:2011年7月15日、7月20日)

◆米国国防総省 重大なデータ侵害発生を認め、サイバーセキュリティ戦略を発表 (2011.7.14)
米国国防総省の新サイバーセキュリティ戦略が発表に先だって、国防副長官 William Lynnは、国防総省のとある請負業者が「過去最大級のサイバー攻撃」 を受けたと述べた。 この攻撃では、国防総省がある外国政府と信じる組織に よって機密情報を含む2万4000件のファイルが盗まれた。問題の攻撃は、2011 年3月に発生した。サイバー攻撃の件数が増加し、その深刻度が増しているこ とから、サイバーセキュリティ戦略の作成が必然となった。Lynnによると、 「サイバー攻撃は、今後の紛争における重大な構成要素になりうる」可能性が 高いという。国防総省は、攻撃に対する準備を行い、攻撃からシステムを防御 する立場にある。Lynnは、「米国軍は、攻撃が及ぼす影響によっては、武力に よる対応に出る場合もある」と述べている。

http://www.msnbc.msn.com/id/43757768/ns/technology_and_science-security/
http://www.washingtonpost.com/politics/courts-law/pentagon-cites-largest-ever-loss-of-defense-data-in-cyberattack-reveals-new-defense-strategy/2011/07/14/gIQAXLeWEI_story.html
http://www.eweek.com/c/a/Security/Pentagon-Admits-Major-Data-Breach-as-It-Unveils-Defensive-CyberStrategy-869009/
http://www.washingtonpost.com/national/national-security/pentagon-to-unveil-cybersecurity-strategy/2011/07/12/gIQADG4ADI_story.html
http://www.forbes.com/feeds/ap/2011/07/14/technology-us-waging-cyber-war_8564937.html
http://www.informationweek.com/news/government/security/231001814

【編集者メモ】(Northcutt)
たわ言だ! 国防総省は、私の知る限りずっと、サイバー攻撃を受け続けてき ている。1999年に米国国家安全保障局(NSA)は、国防総省がハッキングされて しまう回数があまりにも多いので、国防総省の情報セキュリティ・アーキテク チャを再設計するために、ハーレーに乗った西部劇風アクセサリをまとうポニー テールの男を送り込んだ。最初は、ミーティングを1日2回行い、緊急調達を行っ たものだが、それもあれよあれよと言う間にジョークと化してしまった。そし てその後、国防総省は、長期的視野で改善を行おうという意欲がないことを繰 り返し示し続けてきた。同省が、米国の機密情報に関して無頓着である原因は、 「説明責任」がないことにある。請負業者を雇い入れることを考える前に、自 宅の中で人目に出さないようにしているもの、つまり、国防総省自身に焦点を あてるべきだ。国民の同意もなく知らないところで機密情報が他国に輸出され てしまうようになる前は、最高機密の多くは、国防総省に保管されていたはず だ。

【編集者メモ】(Paller)
Lynn氏のイニシアチブは、非常に理にかなっているように思う。彼の退陣は、 この国にとってたいへんな喪失になるだろう。国防総省がITに関連するほとん ど全てをアウトソーシングしているため、請負業者らが、盗まれていく大量の 重大なデータを保持し、また、(現実に)それらを失っている。
しかし、Stephen Northcuttが言及していたように、説明責任に焦点をあてる ことが、この問題の解決のカギになる。規制するだけではなく、因果関係に注 目することだ。議会で昨日行われた証言では、連邦政府の監査官(Inspector General)らを非難すべきだと指摘された。なぜなら、彼らは間違った事柄(彼 らが使用している紙のチェックリストは、現在ある脅威の様相を反映していな い)を測定しており、彼らの圧倒的な権限は、政府局や請負業者を注意して見 ることに焦点をあてており、重要であるコントロールからそれてしまったから だ。

────────────────

◆エネルギー研究所のCIO談:ハッカーがZero-Dayの欠陥を悪用している(2011.7.12)
米国エネルギー省(DOE)、パシフィックノースウェスト国立研究所(Pacific Northwest National Laboratory)のCIO、Jerry Johnsonによると、アタッカー がZero-Dayの脆弱性を悪用して研究所のコンピュータに侵入してマルウェアに 感染させていたので、同研究所は7月1日にシステムをオフラインにするに至っ たという。7月12日の火曜日に、内部のコミュニケーションや外部との電子メー ルが、部分的に復旧したが、同研究所のWebサイトはまだ利用できない状態で あり、インターネットへのアクセスもないままだ。Johnsonは、週末には、サー ビスが完全に復旧すると期待している。彼は、メディアの報道とは反対に、今 回の攻撃はスピアフィッシング(spear phishing)が原因ではないと見ている ようだ。DOEの他の研究所、バージニア州のトーマスジェファーソン国立加速 器施設(Thomas Jefferson Laboratory National Accelerator Facility)が同 じ日に攻撃を受け、攻撃発生後にオフラインとなったが、先週、インターネッ ト・サービスが復旧した。

http://gcn.com/articles/2011/07/12/energy-lab-attack-zero-day-exploit.aspx
【編集者メモ】(Murray)
ここでとれる責任ある行動とは、「セキュリティ」が万全とまではいかなくて も、「衛生状態」が確保されていると自信を持って言える状態になるまで、侵 害されたネットワークを公共のネットワークに接続しないことだ。最近の事件 (ソニーやセガ、エネルギー省)を見れば、その状態に達するまでに数週間は かかることがわかる。

────────────────

◆McCain上院議員 サイバーセキュリティ関連の立法をスピードアップする委員会の設立を求める (July 14, 2011)
無数の審議法案があるなか、米国上院議員John McCain(アリゾナ州共和党)は、 サイバーセキュリティ関連の法案可決をスピードアップできる特別委員会の設 立を求めている。サイバーセキュリティに対処する法案が二院双方で多数提案 されているにもかかわらず、いずれの院でも、そのどれかが法として近日中に 可決される兆しが全く見られない。そのため、McCainは、7月13日に、サイバー セキュリティと電子情報漏えいに関する特別委員会の設立を、上院の多数党・ 少数党両党の院内総務に書簡で提案した。本提案は、上院議員のJoe Lieberman (コネチカット州無所属)とSusan Collins(メイン州共和党)の反発にあった。 両議員はどちらも、サイバーセキュリティ法案を提案している議員であり、 「すでに山ほど仕事を片付けたところで、同じプロセスを再開するのは間違っ ており、時間の無駄になる」と述べている。

http://fcw.com/articles/2011/07/14/senate-spars-over-cybersecurity-legislation.aspx
http://www.latimes.com/news/nationworld/nation/wire/sns-rt-us-usa-cybersecurittre76c7dh-20110714,0,6847564.story

【編集者メモ】(Murray)
これらの法案には、問題となっている条項がまだいくつかある。 商工会議所 (Chamber of Commerce)や全米レコード協会(RIAA)、米国映画協会(MPAA)は、 このような法案の「速やかな」可決を勝ち取れるようにロビー活動をしている。 その一方で、人権擁護団体、Demand Progressが、測定可能で内容が明確なア プローチを取るように働きかけ、非難をもとにユーザーを「ブラックリスト」 に載せる条項に特に反発している。

────────────────

◆ドイツ警察のコンピュータに数カ月間 攻撃者潜む (2011.7.17-18)
「コンピュータセキュリティ専門家が、ドイツ警察や税関サービスのコンピュー タの内部にサイバー侵入者らを発見した」という当局の発表があった。この侵 入者らは、その存在が検知されるまでの数カ月間、内部に潜んでいたという。 新聞の報道によると、ドイツのサイバーセキュリティ関連の連邦政府局は、攻 撃者らは連邦警察のコンピュータに2010年9月に侵入したが、攻撃行為は2011 年初期まで検知されなかったという。攻撃の犯行声明を出しているグループは、 税関サービスシステムの機密情報を既にいくつか公表しており、同グループの メンバーが1人でも逮捕されれば、更に保持している機密情報を公開すると述 べている。一方で、連邦警察は、グループのメンバーだと考えられる自称「名 無しのクルー(No Name Crew)」の男性を1人逮捕したようだ。

http://www.monstersandcritics.com/news/europe/news/article_1651622.php/Officials-hackers-were-in-German-police-computers-for-months

http://www.thelocal.de/sci-tech/20110718-36375.html

【編集者メモ1】(Murray)
今となっては、国家安全保障局(NSA)でさえも、ネットワークに侵害されてい るシステムがあるという前提をもとにしている。これが全ての大規模なネット ワークが用いるべき指標的な前提であるべきである。そう考えて行動すべし。

【編集者メモ2】(Paller)
そして、米国の政府部局のために、国家安全保障局(NSA)の情報保障部門 (Information Assurance Division)が、侵害されたネットワークのための指導 要綱(Guidelines for Operating on Compromised Network)の概要をまとめた 素晴らしい文書を公表している。あなたが所属している機関のCISOも、必要な らば文書を一部入手すべきであろう。

【編集者メモ3】(Honan)
H-Onlineの記事に、この攻撃に関する素晴らしい洞察が掲載されており、攻撃 者がいかにしてデフォルト設定で配備したシステム(このケースではApacheの サーバ)を悪用するのかについても明らかにしている。Center for Internet Security(http://www.cisecurity.org/index.cfm)など、有益な情報源もあ るので活用されたい。このリンクでは、同じ間違いを犯さない方法についての 詳細が説明されている。

────────────────

◆Righthaven 法廷を欺いたために5,000ドルの罰金 (2011.7.14-15)
米国ネバダ州の地方裁判所判事Roger Huntは、Righthaevenが「同社が訴訟を 起こして金銭的に利益を得るのは誰か」という問題について法廷を意図的に欺 いたとし、同社に5,000ドルの罰金を科した。Righthavenは、この制裁につい て控訴する可能性がある。
また、同じネバダ州で、Kent Dawson判事は、Righthavenには著作権侵害で訴 訟を起こす当事者適格がないとして、同社があるブロガーに対して起こした訴 訟を棄却した。このケースにおいてRighthavenは、「Stephens Mediaと結んだ 契約への修正条項には遡及効力があるので、我々は訴訟を起こすことが可能だ」 と主張を試みた。しかし、この主張に判事は同意しなかった。

http://www.wired.com/threatlevel/2011/07/judge-fines-righthaven-5000/
http://www.vegasinc.com/news/2011/jul/14/judge-fines-righthaven-5000-misleading-court-over-/
http://www.techdirt.com/articles/20110715/02122715100/another-day-another-smackdown-righthaven-told-to-pay-up-misleading-court.shtml
http://arstechnica.com/tech-policy/news/2011/07/lessons-in-retroactivity-righthaven-cant-change-the-facts-after-it-suesrighthaven-learning-it-cant-change-the-facts-after-it-sues.ars

────────────────

◆慎重に考え抜かれたパッチ戦略 功を奏する (2011.6.15)
最近発表された報告書で、ほとんどの組織におけるセキュリティパッチの扱い 方に関して必ずついて回る問題がどのようなものかが浮き彫りになった。 「2011年度Secunia半期報告書(The Secunia Half Year Report 2011)」による と、十分に考え抜かれたパッチ戦略を導入した組織は、脆弱性によるリスクを 最大で80%減らすことができるという。(一方、)エンドポイントにおけるプラ グインやその他のプログラムの数が多いと、問題の解決はより面倒になる。
Winodowsの欠陥全てにパッチを適用するという企業でさえも、パッチをまだ適 用していない欠陥が全体の4分の3以上あるという。Secuniaは、最もよく使わ れるプログラムに対してパッチを適用すればリスクが31%減少し、最も重大な プログラムに対して適用すれば71%が減少することを突き止めた。「この分析 によって、どの組織にとっても、ソフトウェアのポートフォリオに合わせてタ イムリーにパッチを適用するのは、常に動いている標的を追いかけるようなも のであることがわかった」という。

http://www.scmagazineus.com/report-says-firms-must-rethink-patching-strategy/article/207478/
http://secunia.com/blog/238

【編集者メモ1】(Northcutt)
誰かが知っていることでSecuinaが知らないことなどない。PCを持っているが、 SecuniaのPSI無料パッチツールを試していない方は、今日にもお試しいただき たい。このソフトは、大変役立つと思う。特に、忙しくて更新を後回しにして しまうときには有用だ。
http://secunia.com/vulnerability_scanning/personal

【編集者メモ2】(Murray)
また、Verizon DBRは広範にパッチを適用する方が早期に適用するよりも有効 だと強調している。

【編集者メモ3】(Honan)
この報告書は、よく出来ており、例えば昨年発行されたアドバイザリの26%が まだパッチ未適用のままであることなど、興味深い問題をいくつか浮き彫りに している。また、システムにパッチを適用しなければ、サイバー犯罪者らが、 0-dayのエクスプロイトに関して時間とお金を費やす必要がなくなることも強 調されている。

────────────────

◆英国の電話ハッキングのスキャンダル (2011.7.15-17)
英国における電話ハッキングのスキャンダルによって、新たに2つの捜査が開 始され、さまざまな組織の要人が何人も辞任するという事態に発展した。ロン ドン警視庁専門犯罪(Specialist Crime)局の刑事は、「News International のために調査を行った私立探偵らが、トロイの木馬プログラムを使用してコン ピュータのアクセスを獲得して情報を盗み出た」疑いがあるとして、別途捜査 を開始した。米国では、FBIやその他の政府局が、「9・11同時多発テロ事件の 犠牲者の携帯電話へのアクセスを、News Corpの社員らが買おうとしていた」 という疑惑について、捜査を行っている。先週News InternationalのCEOを辞 したRebekah Brooksが電話ハッキングに関連して逮捕されている。首都警察局 (Metropolitan Police Authority)の局長、Sir Paul Stephensonも、ロンドン 警視庁副総監John Yatesと同様に、そのポストを辞任した。

http://www.telegraph.co.uk/news/uknews/phone-hacking/8642649/Police-investigate-new-computer-hacking-claims-linked-to-News-International.html
http://www.morningstaronline.co.uk/news/content/view/full/107129
http://www.guardian.co.uk/media/2011/jul/17/rebekah-brooks-arrested-phone-hacking-allegations
http://www.theregister.co.uk/2011/07/18/assistant_commissioner_john_yates_quits_scotland_yard/

【最新情報】
このニュースに関する更新情報によれば、News of the Worldで一連の違法行 為を最初に暴露した同紙の記者、Sean Hoareが遺体で発見されたという。
http://www.bbc.co.uk/news/uk-14199171.
また、警察は、Rebekah Brooksの自宅近くで発見されたバッグの中身(書類や 電話、コンピュータなどが入っている)を検査している。
http://www.guardian.co.uk/media/2011/jul/18/mystery-bag-bin-rebekah-brooks.
その一方で、Lulzsecは、隠居生活から復帰し、The Sun NewspaperのWebサイ トをハッキングして「Rupert Murdoch死亡」という偽のニュースを掲示した。 また、彼らは、News Internationalの電子メールのアーカイブにアクセスした のは自分たちだと主張している。
http://www.telegraph.co.uk/technology/news/8647138/News-International-faces-threats-over-hacked-emails.html.
英国のDavid Cameron首相は、アフリカ訪問を途中で切り上げ、スキャンダル 騒ぎに対応するために帰国した。
http://www.bbc.co.uk/news/uk-politics-14195259.

【編集者メモ】(Murray)
外部の者はブランドに傷を付け、内部の者は事業を駄目にする。経営層と専門 家らが原因で企業が倒産するケースは非常に多い。説得力のある反証を得る手 段として私立探偵を雇うのは魅力的であり、よく行われることですらあるが、 期待するほどの効果はない。

────────────────

■■SANS NewsBites Vol.13 No.58-59
(原版:2011年7月22日、7月27日)

  
◆ソニーの保険業者 裁判所に「保険業者はソニーを侵害行為から守る責を負わない」という見解を求む(2011.7.21-22)
ソニーの保険業者であるZurich American Insurance Company (ZAIC)とその親 会社のZurich Insurance Companyは、「ソニーが今年はじめに被った一連のセ キュリティ侵害については、Zurichの保険契約は適用されない」と主張し、メ ディア企業のソニーを訴える意向だ。Zurichの申し立てによれば、「ソニーは、 Zurichに多数の訴訟や“複数の検事当局によって起こされる可能性のある起訴” から同社を守るように」要求してきたという。ZAICは、ソニーの保険契約は、 「肉体的損傷(bodily injury)」や「物的損害(property damage)」、および、 「個人および広告に対する損害(personal and advertising injury)」につい て適用されると主張している。

http://www.theregister.co.uk/2011/07/22/sony_breach_insurance/
http://www.computerworld.com/s/article/9218577/Sony_insurer_says_it_s_not_liable_for_breach_related_costs?taxonomyId=17
http://www.reuters.com/article/2011/07/21/us-insurance-sony-idUSTRE76K3PY20110721
https://iapps.courts.state.ny.us/fbem/DocumentDisplayServlet?documentId=tirVQewp3WujFno1EgNuTA==&system=prod

【編集者メモ1】(Pescatore)
サイバー保険契約で、企業の顧客情報を保護しているものは未だかつてない。 また、そういった保険の多くについては、サイバー事故で生じた金銭的損害に 関する意味のある境界線がひかれていない状態である。
ソフトウェア・エンジニアリングという行為自体が矛盾だらけなので、保険会 社には、リスク評価のための意味のある土台がない。となると、保険料は高く なり、保険金の支払額は制限付きとなる。そして、ZAICの訴訟を見てもわかる ように、保険金の支払対象としての条件を満たす「被害(injury)」や「事件」 の定義も、非常に貧弱である。

【編集者メモ2】(Paller)
数年前、ホワイトハウスのサイバーコーディネータ(cyber coordinator)は、 大手保険業者に資金援助を受けている人間に、「セキュリティを向上するため の誘因として、サイバー保険を後押しする」ようにプレッシャーをかけられて いた。「火災保険によって建築基準法が設けられ、建築物の安全性の向上が促 進された」ように、保険によってセキュリティが向上するという論旨だ。 その際、私はコーディネータから「サイバー保険がどれだけ円滑に機能してい るか」を調べるように依頼を受けた。そこで、米国でサイバー保険を販売して いる会社のほとんど全ての代表者と面談したが、保険をかけた組織のサイバー セキュリティが貧弱であったために発生した損害に対して保険金が支払われた ケースを、私に対してたったの一例も示すことができなかった。結局、保険会 社が直面しているのは、再保険不足という問題だということがわかった。保険 会社は、再保険がないかぎり、リスクを負おうとしない。再保険では、シカゴ で発生した火災が、ニューヨークやアトランタ、その他どこかで発生しないと いう前提を必要としている。 しかし、サイバー上の脅威は、いろいろな場所 でさまざまな犠牲者に(同時に)影響を及ぼしうるので、損害を、有効に再保険 でカバーすることができないのだ。再保険がないとなると、その保険会社自身 の損失を徹底的に抑えるしかない。したがって、あなたがサイバー保険をかけ たとしても、上司に「サイバー関連で生じた損害は保険でカバーされている」 と請け合って、自分のキャリアをぶち壊しにしてしまうことのないように。

────────────────

◆「Anonymous」と「LulzSec」の容疑者宅の家宅捜索で逮捕に至る(2011.7.19-20)
PayPalやその他のサイバーアタックに対する分散DoSアタックに関連して、米 国、オランダ、英国で21人が逮捕された。米国では16人の逮捕となっている。 米国で逮捕された容疑者のうち14人は、アタックを仕掛けたハッキング集団 「Anonymous」のメンバーだと思われる。
オンライン決済業者のPayPalは、WikiLeaksを支援するための支払いの決済処 理を拒否したために、後に「Anonymous」の攻撃を受けた。米国で逮捕された 残りの2人は、InfraGardとAT&T(訳注:原文のATY&Tは誤り)に対してアタック を仕掛けた嫌疑をかけられている。このアタックは、「LulzSec」の名で実行 された。

http://www.wired.com/threatlevel/2011/07/paypal-hack-arrests/
http://www.theregister.co.uk/2011/07/19/anonymous_hacking_arrests/
http://www.theregister.co.uk/2011/07/20/europe_anon_suspects_cuffed/
http://www.bbc.co.uk/news/world-us-canada-14212110
http://www.h-online.com/security/news/item/FBI-arrests-suspected-members-of-Anonymous-1282502.html
http://www.computerworld.com/s/article/9218528/_Anonymous_arrests_tied_to_PayPal_DDoS_attacks_FBI_says?taxonomyId=17
http://www.theatlanticwire.com/technology/2011/07/how-two-lulzsec-hackers-slipped/40215/

────────────────

◆Microsoft Rustock運営者の逮捕につながる情報に報奨金 (2011.7.18-19)
Microsoftは、Rustockボットネットに責任のある人間の逮捕・有罪判決につな がる情報の提供に対し、25万ドルの報奨金を申し出ている。
今年はじめ、Microsoftは、Rustockの指令管制(command and control)サーバ を当局が差し押さえることを許可する裁判所命令が出た時点で、同ボットネッ トに対して共同アタックを開始した。ある時点で、Rustockは、世界中で送信 されているスパムの40%に関連しているとも考えられていた。

http://krebsonsecurity.com/2011/07/microsoft-offers-250k-bounty-for-rustock-author/
http://www.h-online.com/security/news/item/Microsoft-offers-250-000-for-information-on-Rustock-botnet-1281469.html
http://www.theregister.co.uk/2011/07/18/microsoft_rustock_reward/
http://www.computerworld.com/s/article/9218503/Microsoft_posts_250K_reward_for_Rustock_botnet_herders?taxonomyId=17

────────────────

◆米国政府監査機関(GAO)の報告書: 国防総省(DOD)にサイバー活動の課題(2011.7.25)
国防総省(DOD)は、サイバーセキュリティの脅威に対して防御を行う政府局の 中では最も態勢が整っている政府局だという評判を高めてきたようだが、米国 政府監査機関(GAO)の報告書によると、「国防総省が現在直面している、そし て、今後直面するだろうサイバーセキュリティの脅威の大きさに後れを取らず についていくのは、困難であるという」見通しが述べられている。米国は、陸 海空における存在感という観点でその権勢を振るってきたが、敵対国がサイバー 空間に入り込むために必要な費用や技術における権勢は、はるかに小さい。報 告書においては、国防総省が米国のサイバー指令部(US Cyber Command)を設置 したことについては賞賛しているが、「これによって、国防総省がサイバーセ キュリティの脅威に対処するために必要としているリーダーシップやガイダン スが得られるかどうかを判断するには、時期尚早だ」と説明している。GAOの 報告書では、2008年のサイバー感染によって、さまざまな軍・文民組織から指 令が発令されたものの、どの指令も他と連携されずじまいだったことが例とし て引き合いに出され、国防総省がその連携力を向上させる必要がある分野がど こかを指摘している。

http://www.govinfosecurity.com/articles.php?art_id=3892
http://www.washingtonpost.com/blogs/checkpoint-washington/post/gao-faults-pentagon-cyber-operations/2011/07/25/gIQAUcQOZI_blog.html
http://www.gao.gov/new.items/d1175.pdf
http://www.networkworld.com/community/node/76864

【編集者メモ】(Pescatore)
GAOの報告書では、主に、国防総省全体にわたってトップダウンの階層的なサ イバーセキュリティの統制が欠如していることに焦点があてられている。しか し、これでは、現代戦を戦うためにはもっと多くの戦艦が必要だと言っている ようなものだ。

────────────────

◆エスクロー会社 不正取引で銀行を訴える (2011.7.19-25)
カリフォルニア州のエスクロー会社、Village View Escrowが、以前取引を行っ ていた銀行のProfessional Business Bankには過失があり、オンラインバンキ ング契約の条項を果たしていないとし、同行を訴えている。
Village View Escrowは、2010年3月に、不正の電信送金で46万5,000ドルを失っ た。Village Viewは、 Professional Business Bankとの間に、「電信振替は、 事前に2人の社員の承認と、会社の指定の電話番号からの電話による承認がな ければ実行できない」という文言がある契約を交わしていた。Professional Business Bankはどうやら、同行のオンラインバンキング機能を、ユーザー名 とパスワード以外に他の情報を追加でほとんど必要としていない企業に外注し ていたようだ。この件に関連しているサイバー窃盗犯は、このエスクロー会社 とは合法的な取引のない世界中の口座20件に向けて電信送金を26回実行した。

http://krebsonsecurity.com/2011/07/calif-co-sues-bank-over-465k-ebanking-heist/
http://www.darkreading.com/smb-security/167901073/security/attacks-breaches/231002153/yet-another-bank-sued-by-a-small-business-for-fraudulent-hacker-transfers.html
http://docs.ismgcorp.com/files/external/1st-Amend-Complaint.pdf

────────────────

◆判事 Thomas-Rassetのファイル共有に対する罰金刑を5万4,000ドルに減額 (2011.7.22)
米国地方裁判所判事Michael Davisは、当初、陪審の評決によって決まった Jammie Thomas-Rassetに対する罰金額の150万ドルを、「驚愕」の金額と称し、 5万4,000ドルに減額した。これは、KaZaAで楽曲24曲を共有したThomas-Rasset に対して、全米レコード協会(RIAA)起こした3つ目の訴訟である。
Thomas-Rassetは、RIAAが違法なファイル共有の問題で訴訟に持ち込んだ初め ての人である。RIAAは、「判事は、著作権法に関するケースで陪審の評決を減 刑する権限はない」と主張しているが、Davis判事は、今回の決定は公正さを 図るために下したと述べている。すなわち、評決は「実際に行った違反行為に 釣り合わないだけでなく、明らかに不当だと言っていいほど、非常に厳しく耐 えがたいものだ」という。

http://www.wired.com/threatlevel/2011/07/kazaa-verdict-slashed/
http://news.cnet.com/8301-31001_3-20081934-261/jammie-thomas-judgment-lowered-from-$1.5-million-to-$54000/

【編集者メモ】(Schultz)
この判決は正当だと思われる。Jammie Thomas-Russetが、24曲の楽曲を共有し たというだけで破産に追い込まれるのは、決して正しいとは思えない。しかし、 彼女が、問題のファイル共有活動の責任を否定していることに関しては、憂慮 すべきだ。

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年7月16日 Vol.10 No.29)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Windows
3 (#1)Third Party Windows Apps
6
Linux
1
HP-UX
1
Cross Platform
7
Web Application
3
Network Device
5
======================================================================
1.危険度【高】: Microsoft WindowsのBluetoothにスタックオーバーフローの脆弱性

<影響を受ける製品>
Windows Vista Service Pack 1と2
Windows Vista x64 Edition Service Pack 1と2
Windows 7、32-bit System版
Windows 7、32-bit System版 Service Pack 1

<詳細>
Microsoftは、Bluetoothのドライバ・コードにあるセキュリティの脆弱性に対 処するパッチをリリースした。アタッカーは、悪意のあるBluetoothパケット を送信すれば、ドライバ・コードにイニシャライズされていない、もしくは、 削除されたオブジェクトにアクセスさせ、SYSTEMレベルの権限でターゲットの マシンに任意のコードを実行できるようになってしまう。この脆弱性を悪用す るには、Bluetoothのドライバが有効になっていなければならない。

<現状>
ベンダーは、この問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.microsoft.com
Microsoftのセキュリティ警告
http://www.microsoft.com/technet/security/Bulletin/MS11-053.mspx
SecurityFocus BugTraq IDs
http://www.securityfocus.com/bid/48617/discuss

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年7月23日 Vol.10 No.30)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
3
Linux
1
Solaris
1
Cross Platform
14(#1,#2)Web Application - SQL Injection
2
Web Application
4
Network Device
1
Hardware
1
======================================================================
1.危険度【高】: Oracleのさまざまな製品に複数の脆弱性

<影響を受ける製品>
Oracle Secure Backup
Oracle Fusion Middleware

<詳細>
Oracleは、 同社製製品にあるさまざまの脆弱性にパッチをリリースした。異 機種環境サーバのために中央集中型のテープ・バックアップ管理を提供する Oracle Secure Backupに、HTTPプロトコルを介して悪用できるOracle Secure Backupにある詳細不明なリモートの脆弱性に対処するパッチが適用された。認 証されていないアタッカーでも、この脆弱性を悪用して、ターゲットのWindows システムの完全性を破ることができる。この脆弱性は、Linux、Unix、その他 のプラットフォーム上では、それほどひどくない。また、Oracleは、複数のOS を運用するアプリのためのプラットフォーム、Fusion Middlewareに対しても パッチをリリースした。Fusion Middlewareに組み込まれたOracleのJVM(Java Virtual Machine)であるOracle JRockitは、ある詳細不明の脆弱性に影響を受 けやすいという。未承認のリモートのアタッカーであっても、この脆弱性を悪 用して、ターゲットのWindowsシステムの完全性を破る(violate)ことができる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.oracle.com
Oracleの重大なパッチのアドバイザリ
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html
SecurityFocus BugTraq ID
http://www.securityfocus.com/bid/48148
http://www.securityfocus.com/bid/48752

────────────────

2.危険度【高】: Apple iOSにさまざまな脆弱性

<影響を受ける製品>
Apple iOSの4.2.9以前のバージョン
Apple iOSの4.3.4以前のバージョン

<詳細>
Appleは、携帯デバイス用の同社製iOSオペレーティングシステムのコンポーネ ントに影響を及ぼすさまざまな脆弱性にパッチをリリースした。問題には、悪 意のあるPDFを開くときに引き起こされる2つのCoreGraphicの脆弱性などがあ る。1つ目は、TrueTypeフォントの処理を行うFreeTypeのコンポーネントにあ るバッファオーバーフローが原因で引き起こされる。2つ目の脆弱性には、詳 細不明の符号属性(signedness)に関する問題が関係している。アタッカーは、 ターゲットを悪意のあるPDFを開くように仕向けられれば、ターゲットのマシ ンに任意のコードを実行できるようになる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.apple.com
Appleのセキュリティアドバイザリ
http://support.apple.com/kb/HT4802
http://support.apple.com/kb/HT4803
SecurityFocus BugTraq ID
http://www.securityfocus.com/bid/44214
http://www.securityfocus.com/bid/48619

────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが 配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノ ロジーズが編集してお届けしています。世界中でこの1週間に起こったセキュ リティのあらゆるトピックと専門家のコメントが掲載されています。原版は、 およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュ ースソースとして活用されています。組織のセキュリティ管理に関する参考情 報としてお役立てください。掲載されている情報は、e-mailを介して自由に他 の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。日 本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申 込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等におけ る弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信し ています。配信を希望されない方は、恐れ入りますが件名に「配信停止」とお 書きいただき、info@sans-japan.jpまで返信してください。